一、背景

2024年1月2日，Solar应急响应团队（以下简称Solar团队）接到某集团公司的请求，该公司资产于2024年1月1日遭遇黑客攻击，多台服务器上的文件被加密。Solar团队获取了其中一个加密文件，进行了解密尝试。经过分析，确认了该勒索软件属于Phobos家族，为最新变种jopanaxye。通过多种方法，我们的解密专家成功恢复了测试文件。在随后的工作中，Solar团队与安全服务团队合作，对客户的数十台服务器进行了解密和恢复。此过程中Solar团队排查并清理了黑客遗留的系统后门，修复了受损的服务文件，还原了完整的攻击链条，将系统中存在的安全隐患逐一修复，并最终在一周内将所有系统恢复至正常运行状态。

遭受攻击的服务器窗口显示情况

解密前后文件对比（示例）

二、现场排查

2024年1月3日，Solar应急响应团队到达该集团现场，最终情况如下：

统计出的被加密服务器情况：

图中数据已脱敏，仅作示例参考

2024年1月3日，根据对现场情况的调研分析，安全专家已梳理出入侵路线如下（已脱敏）：

1. 入口服务器为该集团开放至公网的某品牌ERP系统，该系统于2023年12月被披露存在反序列化漏洞，攻击者在2024年1月1日22:22通过该漏洞获取了入口服务器的权限

2. 进入该集团内网后，攻击者投放了加密工具AntiRecuvaDB.exe，用于扫描内网、爆破弱口令、漏洞利用等

3. 利用RDP弱口令、永恒之蓝漏洞等方式，攻击者共获取了28台内网主机权限，并对上面的数据进行了加密

2024年1月3日，安全专家对现场受害服务器进行了后门排查清理，发现受害主机被添加了自启动注册表项：

路径

三、样本分析

样本信息

[ID]是勒索信息中指定生成的 ID 号，[email address 1]是攻击者留下的邮箱以供联系，[added extension]是与 Phobos 家族相关的扩展名。以下是 Phobos 使用的部分已知扩展：

提取的AntiRecuvaDB.exe为一个exe文件，大小为62464字节，主要试用逆向工程工具IDA对其进行逆向分析，以及OllyDbg辅助调试，分析结果如下图所示：

1.初始化

该程序初始化状态创建七条线程用于执行不同的任务，主要是用于解密循环，解密文件中存在的字符串和获得系统环境信息。

创建线程之后立即使用CreateMutexW API 创建互斥锁，以确保系统中只有一个恶意软件实例在运行。

2.样本主要功能

1. 自我复制

2. 提权

3. 开机自启动

4. 内网永恒之蓝漏洞利用、RDP弱口令爆破

5. 对指定类型的文件进行加密

   6.生成勒索信息，修改桌面壁纸

3.技术细节

1.恶意程序获取当前时钟进行执crc32自校验：

2.字符串加密

函数sub_406347为字符串混淆,输入49为id号,返回解密后的字符串,aes ecb加密

加密key图片

3.关闭防火墙

4.添加自启动

5.不加密的文件名和目录

6.扫描内网,寻找开放445端口的主机,利用永恒之蓝漏洞

7.在桌面上写入勒索信息文件

四、解密恢复

Solar团队第一时间对受害机器的相关情况进行了排查，最终成功解密和恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

解密前

解密后

五、安全加固\后门排查

完成解密后，Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查，并对隐患项提出了安全加固建议，确保不存在遗留后门，并对服务器进行快照及备份处理。下表为安全加固排查总表：

图中信息均已脱敏处理